Inscription en bloc des appareils Windows
S’applique à
- Windows 10
- Windows 11
Joindre de nouveaux appareils Windows à l’ID Microsoft Entra et à Intune. Pour inscrire en bloc des appareils pour votre locataire Microsoft Entra, vous créez un package d’approvisionnement avec l’application Windows Configuration Designer (WCD). L’application du package d’approvisionnement aux appareils appartenant à l’entreprise joint les appareils à votre locataire Microsoft Entra et les inscrit pour la gestion Intune. Une fois le package appliqué, il est prêt pour que vos utilisateurs Microsoft Entra se connectent.
Les utilisateurs de Microsoft Entra sont des utilisateurs standard sur ces appareils et reçoivent des stratégies Intune attribuées et des applications requises. Les appareils Windows inscrits auprès d’Intune à l’aide de l’inscription en bloc de Windows peuvent utiliser l’application Portail d’entreprise pour installer des applications disponibles.
Rôles et autorisations
Pour créer un jeton d’inscription en bloc, vous devez disposer d’une attribution de rôle Microsoft Entra prise en charge et ne pas être limité à une unité administrative dans l’ID Microsoft Entra. Les rôles intégrés Microsoft Entra avec l’autorisation de créer des jetons d’inscription en bloc sont les suivants :
- Administrateur d’appareil cloud
- Administrateur Intune
- Administrateur de mot de passe
Pour plus d’informations sur ces rôles, consultez Rôles intégrés Microsoft Entra.
Configuration requise
- Les appareils doivent exécuter la mise à jour Windows 11 ou Windows 10 Creator (build 1709) ou ultérieure.
- Activez l’inscription automatique Windows.
En outre, vérifiez que le principal de service pour Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-000000000000000000) est présent dans votre locataire Microsoft Entra. Dans une ligne de commande, utilisez la Get-AzureADServicePrincipal
commande pour rechercher le principal de service. Sans le principal de service, le Concepteur de configuration Windows ne peut pas récupérer le jeton d’inscription en bloc, ce qui entraîne une erreur.
Créer un package d’approvisionnement
Installez le Concepteur de configuration Windows (WCD) à partir du Microsoft Store.
Ouvrez l’application Windows Configuration Designer et sélectionnez Provision desktop devices (Approvisionner des appareils de bureau).
Vous accédez à une fenêtre Nouveau projet dans laquelle vous pouvez spécifier les informations suivantes :
- Nom : nom de votre projet
- Dossier du projet : emplacement d’enregistrement du projet
- Description : description facultative du projet
Entrez un nom unique pour vos appareils. Les noms peuvent inclure un numéro de série (%SERIAL%) ou un jeu de caractères aléatoires. Si vous le souhaitez, vous pouvez également entrer une clé de produit si vous mettez à niveau l’édition de Windows, configurer l’appareil pour une utilisation partagée et supprimer le logiciel préinstallé.
Si vous le souhaitez, vous pouvez configurer les appareils réseau Wi-Fi auxquels se connecter lors de leur premier démarrage. Si les appareils réseau ne sont pas configurés, une connexion de réseau câblé est requise lors du premier démarrage de l’appareil.
Sélectionnez Enroll in Azure AD (S’inscrire dans Azure AD), entrez une date dans le champ Bulk Token Expiry (Expiration du jeton en bloc), puis sélectionnez Get Bulk Token (Obtenir le jeton en bloc). La période de validité du jeton est de 180 jours.
Remarque
Une fois qu’un package d’approvisionnement est créé, il peut être révoqué avant son expiration en supprimant le compte d’utilisateur package_{GUID} associé de l’ID Microsoft Entra.
Fournissez vos informations d’identification Microsoft Entra pour obtenir un jeton en bloc.
Remarque
- Le compte que vous utilisez pour demander le jeton en bloc doit être inclus dans l’étendue de l’utilisateur MDM dans l’ID Microsoft Entra. Si vous supprimez ce compte d’un groupe lié à l’étendue utilisateur MDM, l’inscription en bloc cesse de fonctionner.
- La récupération de jeton en bloc ne fonctionne pas pour les comptes d’utilisateur fédérés activés pour les déploiements intermédiaires.
Dans la page Rester connecté à toutes vos applications, sélectionnez Non, se connecter à cette application uniquement. Si vous conservez la case à cocher activée et appuyez sur OK, l’appareil que vous utilisez sera géré par votre organisation. Si vous ne souhaitez pas que votre appareil soit géré, veillez à sélectionner Non, se connecter à cette application uniquement.
Cliquez sur Suivant une fois le jeton en bloc obtenu.
Si vous le souhaitez, vous pouvez ajouter des applications et ajouter des certificats. Ces applications et certificats sont approvisionnés sur l’appareil.
Si vous le souhaitez, vous pouvez protéger votre package d’approvisionnement par un mot de passe. Cliquez sur Créer.
Approvisionner des appareils
Accédez au package d’approvisionnement à l’emplacement spécifié dans le dossier de projet indiqué dans l’application.
Choisissez la façon dont vous allez appliquer le package d'approvisionnement à l'appareil. Un package d’approvisionnement peut être appliqué à un appareil de plusieurs manières :
- Copiez le package d'approvisionnement sur une clé USB, insérez la clé USB dans l'appareil que vous souhaitez inscrire en bloc, puis appliquez-le au moment de l'installation initiale
- Copiez le package d’approvisionnement dans un dossier réseau et appliquez-le après l’installation initiale.
Pour obtenir des instructions détaillées sur l’application d’un package d’approvisionnement, consultez Appliquer un package d’approvisionnement.
Après avoir appliqué le package, l’appareil redémarrera automatiquement au bout d’une minute.
Lorsque l’appareil redémarre, il se connecte à l’ID Microsoft Entra et s’inscrit dans Microsoft Intune.
Résolution des problèmes d’inscription en bloc sous Windows
Problèmes de mise en service
L’approvisionnement est destiné aux nouveaux appareils Windows. Les échecs de provisionnement peuvent nécessiter une réinitialisation de l’appareil ou une récupération de l’appareil à partir d’une image de démarrage. Voici quelques raisons qui peuvent expliquer un échec de l’approvisionnement :
- Un package d’approvisionnement qui tente de joindre un domaine Active Directory ou un locataire Microsoft Entra qui ne crée pas de compte local peut rendre l’appareil inaccessible si le processus de jointure de domaine échoue en raison d’un manque de connectivité réseau.
- Les scripts exécutés par le package de mise en service sont exécutés dans le contexte système. Les scripts peuvent apporter des modifications arbitraires au système de fichiers et aux configurations de l’appareil. Un script malveillant ou défectueux peut placer l'appareil dans un état qui ne peut être récupéré qu'en réimageant ou en effaçant l'appareil.
Vous pouvez vérifier la réussite ou l’échec des paramètres de votre package dans le journal d’administration Provisionnement-Diagnostics-Fournisseur, dans l’observateur d’événements.
Remarque
L’inscription en bloc est considérée comme une méthode d’inscription sans utilisateur et, pour cette raison, seule la restriction d’inscription « par défaut » dans Intune s’applique pendant l’inscription. Assurez-vous que la plate-forme Windows est autorisée dans la restriction par défaut, sinon l'inscription échouera. Pour vérifier les fonctionnalités avec d’autres méthodes d’inscription Windows, consultez Fonctionnalités des méthodes d’inscription dans Intune pour les appareils Windows.
Inscription en bloc avec le Wi-Fi
Si vous n’utilisez pas de réseau ouvert, vous devez utiliser des certificats au niveau de l’appareil pour établir des connexions. Les appareils inscrits en bloc ne peuvent pas utiliser de certificats orientés utilisateur pour accéder au réseau.
Accès conditionnel
L’accès conditionnel est disponible pour les appareils inscrits via l’inscription en bloc Windows 11 ou Windows 10, version 1803 et ultérieure.